Bewaartermijnen logbestanden Suwinet
Beste Zaalberg,
Aan mij is, door de functionaris informatiebeveiliging van de gemeente, een vraag gesteld m.b.t. bewaartermijnen logbestanden Suwinet. Ik heb zelf gezocht maar kan hier geen goed antwoord op vinden. Zoals ik het lees moet de gemeente dit zelf bepalen aan de hand van een aantal aanknopingspunten. Kunt u mij hier een antwoord op geven zodat ik dit kan delen met de functionaris informatiebeveiliging? Als deze bewaartermijnen niet echt zijn vastgelegd, welke aanknopingspunten kunnen we dan hanteren?
Antwoord:
Allereerst moet duidelijk zijn wat bedoeld wordt met ‘loggegevens’. De definitie in artikel 12.4.1 van de Baseline Informatiebeveiliging Overheid zegt daarover:
Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
Voor deze logbestanden zijn geen duidelijke bewaartermijnen. Artikel 12.4.2.2 van de Baseline Informatiebeveiliging Overheid noemt daarvoor een bewaartermijn maar zegt:
Ten behoeve van de loganalyse is op basis van een expliciete risicoafweging de bewaarperiode van de logging bepaald. Binnen deze periode is de beschikbaarheid van de loginformatie gewaarborgd.
Resultaat 19.1.24 verwijst nog naar artikel 12.4.3.2, maar deze bestaat niet meer. Dit resultaat heeft het over een bewaartermijn van 6 maanden. Of dit voldoende is voor de logbestanden voor Suwinet is niet duidelijk, al lijkt het wel redelijk.
De eigenlijke bewaartermijn van deze logbestanden zal afhankelijk zijn van de frequentie van eventuele audits die loggegevens meenemen in het beoordelen of er beveilgingrisico’s hebben opgetreden.
Probleem is dat er voorbeelden zijn geweest van hacks en datalekken die langer teruggingen dan 6 maanden. Omdat in die gevallen geen logbestanden meer beschikbaar waren was heel lastig na te gaan tot welke gegevens de hackers toegang hadden. Het ging in dit geval niet over Suwinet maar het laat wel zien dat er nog veel vragen zijn over wat de correcte bewaartermijn van logbestanden is. Vandaar de tekst van artikel 12.4.2.2.